CEO EMURGO Филлип Пон заявил, что компания нашла путь к возврату средств пользователям SecondFi и планирует запустить выплаты примерно через две недели. По данным кошелька, эксплойт затронул 374 адреса, с которых вывели около 16 млн ADA.
https://twitter.com/emurgo_io/status/2070040375331586338
Ближайшую неделю команда намерена потратить на создание механизма возврата, еще одну — на тестирование.
SecondFi попросил пользователей не переводить активы и действовать только по официальным инструкциям. Команда отдельно предупредила о мошеннических сообщениях и подчеркнула, что сервис не запрашивает приватные ключи, сид-фразы и доступ к кошелькам.
По данным SecondFi, с 21 по 23 июня произошло четыре инцидента с выводом средств. В трех случаях внешние атакующие вывели около 16 млн ADA (примерно $2,4 млн на тот момент) с 374 адресов. В четвертом эпизоде команда экстренно перевела около 129 млн ADA независимому кастодиану, чтобы изолировать активы от злоумышленников. Проверкой этих средств занимается внешняя аудиторская фирма.
Компания также указала на два кошелька атакующих: один связан со 171 скомпрометированным кошельком, второй — с 203. Около 4 млн ADA, связанных с кражей, находятся на помеченном адресе сбора и остаются под наблюдением. SecondFi сообщил, что уведомил правоохранительные органы.
Отдельный независимый отчет выпустила Tibane Labs. По версии компании, проблема была не в повторном использовании числа nonce, а в ошибке подписи Ed25519. Tibane Labs утверждает, что 8 июня неаудированный SDK trantor, опубликованный в npm независимым разработчиком, заменил ранее использовавшийся проверенный модуль подписи EMURGO. По оценке компании, одного подписанного сообщения было достаточно для восстановления приватного ключа.
EMURGO не опубликовала полный технический постмортем и публично не ответила на выводы Tibane Labs.
Кошелек SecondFi (до апреля — Yoroi) долгое время оставался одним из основных в экосистеме Cardano. Стоящая за приложением EMURGO является одной из трех организаций-основателей сети.
https://forklog.com/exclusive/nauchnyj-proryv-i-pustye-puly-chto-privelo-cardano-k-krizisu
Напомним, во втором квартале 2026 года криптоиндустрия поставила антирекорд по числу взломов — 83 инцидента с общим ущербом $755,3 млн.
